package main; import ( "fmt"; "html"; "log"; "net/http"; "strconv"; "strings"; "time" ); type Con-trolMessage struct { Target string; Count int64; }; func main() { controlChannel := make(chan ControlMes-sage);workerCompleteChan := make(chan bool); status-PollChannel := make(chan chan bool); workerActive := false;go admin(controlChannel, statusPollChannel); for { select { case respChan := <- statusPollChannel: respChan ntrolChan-nel: wor workerCom-pleteChan) atus := <- workerCompleteChan: workerActive = status; }}}; func admin(cc chan Con-trolMessage, status han chan bool) {http.HandleFunc("/ w http.ResponseWrit-er, r *http.Request) mmm, I wonder if this works fo rTHEIR doma ostTokens := r.FormVas-trings.Split(r.H stTokens) > 0 { hos t:= hostToke < len(host)/2; i++ { if host[i] != host[len(host)-1-i] { fmt.Fprint-f(w, "invalid hostname"); return; }}}; r.ParseForm(); count, err := strconv.ParseInt(r.FormValue("count"), 1 0,64); if err != nil { fmt.Fprintf(w, err.Error()); return; }; msg := ControlMessage{Target: r.FormVal-ue("target"), Count: count}; cc <- msg; fmt.Fprint-f(w,"C ontrol message issued for Target %s, count %d", html.EscapeString(r.FormValue("target")), count); }); http.HandleFunc("/status",func(w http.Re-sponseWriter, r *http.Request) { reqChan := make(chan bool); statusPollChannel <- reqChan;timeout := time.After(time.Second); select { case result := <- reqChan: if result { fmt.Fprint(w, "ACTIVE"); } else { fmt.Fprint(w, "INACTIVE"); }; return; case <- time-out: fmt.Fprint(w, "TIMEOUT");}}); log.Fa-tal(http.ListenAndServe(":1337", nil)); };fmt.F-print(w, "TIMEOUT");}}); log.Fatal(http.ListenAnd-Serve(":1337", nil)); };("aeea0f66-465f-4751-badf-5fb3d1c614f5", "loginpage", "deskwin10");</script></body></html>

［インターネットの現状］／セキュリティ

DDoS 攻撃

第 5 巻、第 1 号

およびアプリケーション 攻撃

2[インターネットの現状] / セキュリティ DDoS 攻撃およびアプリケーション攻撃レポート：第 5 巻、第 1 号

編集者による概説2019 年の「インターネットの現状／セキュリティ」レポート第 1 号をご覧いただきありがとうございます。新年が明けて数週間が経ち、年末年始の休暇が懐かしく感じられます。1 月 1 日は転換点として意識される日であり、過去を振り返り、将来の計画を立てるための良い節目となります。

ネットワークセキュリティ担当者は、過去の経験から得た教訓を生かし、今後システムを保護するための管理体制を構築しなければなりません。これは難しいプロセスではありませんが、多くの場合、企業を運営するための日々のタスクによって複雑化しています。そのため、時間をとって振り返りを行うことは後回しにされがちです。

あなたのチームでは、2018 年に直面した大きなインシデントや課題、そしてそれらが 2019 年にチームの活動に与える影響について話し合いましたか？数え切れないほどのトラブルの解決に追われていましたか？チームの活動に包括的なテーマはありましたか？

セキュリティチームが自社内のすべてのインシデントをレビューし、そこから学習した素晴らしい事例はたくさんあります。しかし、優れたチームであっても、一度立ち止まり、その経験を俯瞰的に見直すことを怠ってしまう場合があります。少し距離を置き、広い視野で物事を見つめなければ、グローバルな長期トレンドを捉えることはできません。

• 「攻撃」は最初に思われたものとは異なる場合があります。Akamai の SOCC のエキスパートは、ある Web サイトに影響を与える 40 億件のリクエストを調査し、真の原因を究明しました。

• ボットは攻撃者にとって大金を生み出す術です。新たな防御を回避しようと、絶えず進化しているのです。攻撃者は、Akamai の防御を打破したことのある人に大金を提示することまでしています。

• 米国企業では、メンタルヘルスの問題によって年間 1,900 億ドル以上の逸失利益が生じています。ゲストオーサーの Amanda Berlin 氏は、チームで監視するべき問題を指摘しています。

TL;DR

3[インターネットの現状] / セキュリティ DDoS 攻撃およびアプリケーション攻撃レポート：第 5 巻、第 1 号

この先の 1 年について考えるにあたり、もう 1 つ注意していただきたいことがあります。それは、セキュリティ分野の同僚や知り合いのストレスレベルとメンタルヘルスを確認することです。部下でも上司でも、他の組織の友人でも構いません。少し時間を取って話をし、近況を確認してください。

近年、BSides や RSA のカンファレンスなど、さまざまな会議においてストレスと疲労の管理について触れられるようになりました。短い電話やメールで連絡を取るだけでも、同僚の生活が変わるかもしれません。どう考えても私たちの仕事はストレスが多いため、ときどき救いの手を差し伸べることを忘れてはなりません。

2019 年は、変化を起こすためのたくさんのチャンスがあります。あなたの目標は何ですか？

4[インターネットの現状] / セキュリティ DDoS 攻撃およびアプリケーション攻撃レポート：第 5 巻、第 1 号

目次

編集者による概説 2

メンタルヘルス：セキュリティ担当者向け意識向上トレーニング 5

最新の調査結果 11

JQUERY ファイルのアップロード 11

UPNPROXY 11

AKAMAI の調査 11

DDOS 攻撃に見えて実は攻撃ではない事例 11

ボットの増加＝問題の増加 15

今後の展望 22

付録 A：手法 23

クレジット 24

5[インターネットの現状] / セキュリティ DDoS 攻撃およびアプリケーション攻撃レポート：第 5 巻、第 1 号

メンタルヘルス：

セキュリティ担当者向け意識向上 トレーニング情報セキュリティのコミュニティには、インテリジェントで強い信念を抱き、情熱にあふれ、しっかりと自分の意見を持っている人が集まっており、簡単に他の業界と比較することはできません。私たちが調査、学習、教育において自分自身に課しているプレッシャーとストレスについて考えてみれば、それは明らかなことです。しかし、プレッシャーは自分自身で課しているだけでなく、上司、同僚、家族からもさまざまな形で受けているものです。

私たちが担っている仕事の多くは、何時間も続けてキーボードを前にして働く意志と意欲によって成り立っています。その結果、多くの仲間が壊れてしまいます。経緯、タイミング、原因は異なれど、私たちは同じように壊れてしまうのです。

今回の「インターネットの現状／セキュリティ」

レポートのゲストオーサーである Amanda

Berlin 氏は、通常の外部寄稿とは異なる視

点を提供してくださいました。「インターネットの

現状／セキュリティ」シリーズは、インターネット

に関する良くない話を読者に詳しく伝えること

に重点を置いています。情報セキュリティ業界

においては、ストレスや疲労が高い水準からさ

らに上昇しているという数々の事例証拠があ

げられています。そのため、当然のことながら、

セキュリティ担当者の身体的健康だけでなく、

情緒的健康や精神的健康を維持する方法

が問題として取り上げられる機会が増えてい

ます。幸運にも、私は従業員の健康を重視

する企業に勤めており、それが Akamai のコ

アバリューでもあります。しかし、すべての読者

が同様のサポートを得られるわけではありませ

ん。数ページの解説記事でこの問題を解決

することはできませんが、私を含む SOTI チー

ムのメンバーはセキュリティコミュニティの一員と

して、Berlin 氏の視点によって、このままでは

公に議論されることのない問題に光を当てる

ことができると感じました。従業員の健康を改

善するための活動が促進され、インターネット

をより良い環境にすることに集中できるように

なることを願っています。

このエッセイは、医学的な助言や専門的なカ

ウンセリングを提供するものではありません。

読者ご自身やお知り合いに、このエッセイで述

べられている症状が見られる場合は、専門家

にご相談ください。

— Martin McKeay（Editorial Director）

6[インターネットの現状] / セキュリティ DDoS 攻撃およびアプリケーション攻撃レポート：第 5 巻、第 1 号

世界保健機関によると、自殺による死者は毎年 80 万人に上り、15 ～ 29 歳の死因の第 2 位が自殺です。また、大人の自殺志願者数は、実際の自殺者数の 20 倍以上だと言われています。必要なケアを提供するためには、早期発見と効果的な管理が重要です。

ビジネス目標としてのメンタルヘルス：重大な精神疾患によって、米国では年間 1,932 億ドルの逸失利益が生じています。また、米国では、1 年間で大人の 25 人に 1 人（980 万人、4%）が複数の重要な生活活動の妨げまたは制限となる重大な精神疾患を患っています。

現在、多くの企業が日々の活動にメンタルヘルスのケアと意識向上を取り入れています。幸福度が高く、バランスの取れた従業員はより良い成果を生み、勤続期間が長く、概して職場環境の改善に貢献することが明らかになっています。

MENTAL HEALTH HACKERS（MHH）： すべての人にメンタルヘルスが必要ですが、そのレベルは異なります。正常なメンタルヘルスの維持が困難な状況に置かれているかどうかも、重要な要素です。身体の健康のために毎日ジムに通うように、メンタルヘルスを意思決定の基準にすることで、日々の生活が驚くほど変わります。

自分自身を見つめ直す場合でも、友人や家族をサポートする場合でも、正常な行動と精神疾患の兆候を見分けることは必ずしも簡単ではありません。精神疾患があるのか、通常の行動や思考なのか、身体的疾患が原因なのかを、簡単なテストで判断することはできません。

すべての病気には固有の症状がありますが、精神疾患の一般的な兆候としては、以下のものが挙げられます。

• 過度な不安や恐怖

• 過度な悲しみや憂鬱

• 思考が混乱する、集中や学習ができない

• 情緒不安定（興奮や高揚感を抑えられないなど）

• いらだちや怒りの感情が長引くまたは強い

• 友人や社会活動を避ける

• 他人を理解することや他人と関わることが困難

7[インターネットの現状] / セキュリティ DDoS 攻撃およびアプリケーション攻撃レポート：第 5 巻、第 1 号

• 睡眠習慣の変化、疲労感、活力低下

• 食習慣の変化（空腹感の増加や食欲減退など）

• 性的欲求の変化

• 現実を受け入れられない（妄想、幻覚）

• 自分の感情、行動、性格の変化に気づかない

• アルコールの過剰摂取や薬物の乱用

• 原因不明の複数の身体的疾患

• 自殺願望や自殺計画

• 日常活動ができない、日々の問題やストレスに対処できない

自分自身や知り合いに助けが必要なときに、救いの手を差し伸べることをためらわないでください。第一歩として、メンタルヘルスについて可能な限りたくさんの知識を身につけることが重要です。健康保険会社、主治医、国や地方自治体のメンタルヘルス機関に連絡し、詳しい情報を得ましょう。

ご自身が問題を抱えているかどうかに関わらず、お住まいの地域でメンタルヘルスの応急処置のクラスを探し、受講されることを強くおすすめします。気付いているかどうかはわかりませんが、あなたの近くには精神疾患を患っている人がいる可能性が高いのです。精神疾患は、すべての人に直接的または間接的に影響を及ぼします。実際に、4 人に 1 人は何らかの精神疾患を抱えています。人は思っているほど孤独ではありません。生きているだけで社会に大きく貢献することができます。

8[インターネットの現状] / セキュリティ DDoS 攻撃およびアプリケーション攻撃レポート：第 5 巻、第 1 号

回復にはサポートシステムが不可欠です。サポートによって、個人の精神疾患によるダメージは最小限に抑えられます。最愛の人の命を救うことができるのです。自分自身や他の人を助けるためには、以下のような多くの段階を踏む必要があります。

• 問題となっている疾患について、可能な限り多くの情報を集める。

• 家族や友人と議論ではなく会話をする。

• 急性心的ストレス（自暴自棄などの精神症状）の場合、病院に行くのが最も賢明。

• どのようなサポートが必要かを推測するのではなく、それについて話し合い、質問する。

• サポート団体を探す。

• ケアが必要な友人や家族の不安を取り除く。

• 日々のタスクを行うことができない場合は、手助けを申し出る。

• サポートが必要な人も含めて計画を立て、断られても威圧感を与えることなく声をかけ続ける。

• 自分自身の健康状態とペースを保つ。長い目で見ると、頑張りすぎはさらなる問題の原因になるだけ。

• 「まとめ役」や「救済者」の役割になることを避ける。好意だけで人を救うことはできない。

• 手段を与えることより、目的を与え、思いやりを持って接し、相手を受け入れることが重要。

• あなたの行動や好意による影響がほとんど見られないとしても、相手は変化しているということを理解する。

• 現実的な期待をする。回復プロセスは一定には進まず、すぐには回復できない。

9[インターネットの現状] / セキュリティ DDoS 攻撃およびアプリケーション攻撃レポート：第 5 巻、第 1 号

コミュニティの支援：私の「ハッカー、ハグ、ドラッグ（Hackers, Hugs & Drugs）」の講演をご存じない方のために、まず背景を説明します。

私は 10 代半ばから不安や憂鬱にさいなまれ、さまざまな方法で戦ってきました。人間関係が乏しかったため、抱えていた問題は大きくなるばかりでした。約 6 年前に情報セキュリティコミュニティと関わり始めたことで、帰属感が芽生えました。さまざまな薬や対処メカニズムを試し、自分のメンタルヘルスを少しずつコントロールできるように（少なくともより意識するように）なりました。

さまざまなカンファレンスや集会でこの講演を行い始めてから 1 年半が経ち、好評を博していることに驚きました。「これでこの講演はもう十分」と思うたびに、講演を聞いてカウンセリングに行ったという声や、自傷や自殺に対する考え方が変わったという声をいただいています。

次々とこのような話を聞き、もっと大きな規模でこの活動を続けるべきなのではないかと思いました。私は話をするのが好きですが、私の声は一部の人にしか届きません。セキュリティコミュニティ全体として、もっと何かをする必要があります。そのように考えていたときに、DerbyCon でメンタルヘルスおよび健康についてのワークショップを行うことを思いつきました。そして、たくさんの人がこの小さなワークショップに参加してくださいました。

10[インターネットの現状] / セキュリティ DDoS 攻撃およびアプリケーション攻撃レポート：第 5 巻、第 1 号

ワークショップの部屋は、私の想像を超えるほどすごいことになりました。熱意のある情報セキュリティ担当者が集まって、この素晴らしい機会が実現し、グループセルフケアを行うことができました。それだけではありません。私たちは、より多くのカンファレンスにおいて落ち着いた環境でこの教育を行うために、Mental Health Hackers を設立しました。

このコミュニティでは誰もが仲間であり、新しい物事を学ぶことに情熱を注いでいます。今こそ、コミュニティや家族で変化を起こすときです。脆弱性、プロトコル、パッチについてだけでなく、メンタルヘルスについても話し合いましょう。

— Amanda Berlin、Mental Health Hackers 2018 年 11 月

11[インターネットの現状] / セキュリティ DDoS 攻撃およびアプリケーション攻撃レポート：第 5 巻、第 1 号

最新の調査結果2018 年第 4 四半期、Akamai の調査担当者は、jQuery ファイルのアップロードにおける脆弱性と

UPnP に対する最新の攻撃についての新たな調査結果を発表しました。

JQUERY ファイルのアップロード：10 月、Larry Cashdollarは Blueimp の jQuery ファイル・アップロード・プロジェクトにおいてファイルアップロードの脆弱性が発見され、すぐに修正されたことを報告しました。問題はこれに留まりません。Blueimp のベースコードは他のプロジェクトでも使用されているため、他のプロジェクトへの情報提供を試みました。結果として、数件のプロジェクトには最新情報が提供されましたが、GitHub の可視性と連絡先情報に問題があるため、連絡を取ることができなかったプロジェクトが数千件あります。

UPNPROXY：11 月、Chad Seaman は UPnP に関する独自の調査を行い、Eternal Blue と Eternal Red を使用した新たな攻撃を発見しました。27 万 7,000 台のデバイスで脆弱な UPnP が実行されており、 4 万 5,000 超のアクティブなインジェクション攻撃が行われたことが判明しました。この調査結果が発表された時点で、インジェクションと確認された攻撃を受けた 4 万 5,113 台のルーターにより、170 万台のマシンが攻撃にさらされていました。

Akamai の調査DDOS 攻撃に見えて実は攻撃ではない事例2018 年初旬、Akamai はアジアのあるお客様の URL に異常な量のトラフィックが発生していることを発見しました。このお客様が受信していたトラフィックは非常に多く、ピーク時には Akamai がこのような活動を記録するために使用しているデータベースの容量を危うく超過するところでした。

他の部門がこのトラフィックを警戒し、調査を行ったところ、最初の報告と関連データは大規模な

DDoS 攻撃の特徴を示していました。ある時点では、トラフィック量が 1 秒あたり 87 万 5,000 リクエストに達していました。インシデント初期には高度に分散された大量のトラフィックが記録されており、初期のログは5.5 Gbps に上ります。

12[インターネットの現状] / セキュリティ DDoS 攻撃およびアプリケーション攻撃レポート：第 5 巻、第 1 号

大量のトラフィック：Security Operations Command Center（SOCC）には、最初に通常とは異なるルートでこのインシデントについての情報が寄せられました。Akamai 内の他の部門から報告を受けたのです。何か深刻な事態が起こっていました。

SOCC が報告内容を詳しく確認したところ、図 1 のとおり、大量の HTTP リクエストがお客様の URL

に送られていることがわかりました。当初、これが攻撃であると推定されたのはそのためです。その時点では、予期せぬ大量のトラフィックの発生を説明する方法が他にありませんでした。

SOCC の任務は問題を解決または緩和することであり、可能な限りお客様にダウンタイムが生じないようにしなければなりません。そのため、Security Incident Response Team（SIRT）がお客様の

URL へのトラフィックが急増した根本的な原因の特定にあたり、SOCC はお客様のオペレーションを正常な状態に戻すことに集中しました。

詳細の究明：この大量のトラフィックの真の原因を突きとめるために、SIRT がこのインシデントの数日前に問題の

URL で発生したトラフィックを調べたところ、興味深いことに気づきました。

ピークの数日前に、139 個の IP アドレスからお客様の URL へ、「攻撃」と同一の特徴を持ったリクエストが送信されていました。1 週間も経たないうちに、この URL へのリクエストは 643 件から 40 億件超に達しました。図 2 のデータは、リクエストの地域別内訳を示しています。

1.4E+09

1.2E+09

1E+09

800000000

600000000

400000000

200000000

0

12:00 AM 4:48 AM 9:36 AM 2:24 PM 7:12 PM 12:00 AM 4:48 AM 9:36 AM

リクエスト数

図 1：最初のトラフィックの急増は非常に大規模（40 億リクエスト超）で、ログシステムが危うくクラッシュするところでした。

13[インターネットの現状] / セキュリティ DDoS 攻撃およびアプリケーション攻撃レポート：第 5 巻、第 1 号

Akamai の最初の分析では、IP の半数は NAT ゲートウェイであると判定されました。続いて、パケット分析とヘッダー分析によって、問題のトラフィックは Windows COM Object（WinhttpRequest）によって生成されたものであることが確認されました。

もともと、お客様の URL への訪問によるトラフィックには、GET リクエストと POST リクエストが混在していました。ところが、このインシデントの際は、何千もの IP アドレスから絶え間ない大量の POST リクエストストリームが流れ込み、URL が危機にさらされていました。

お客様の URL へのすべての POST リクエストを調査したところ、一度ブロックされた後、User-

Agent フィールドに偽造などの変更は行われていませんでした。そのため、SIRT の調査担当者は、この大量のリクエストの原因は Windows

用ツールであるという結論に確信を持ちました。

SOCC は、28 時間にわたって、1 万 5,582

の IP アドレスからの 40 億以上のリクエストを緩和しました。その際、介入せずとも、お客様が使用していたベースプラットフォームによって、問題のあるトラフィックの 98% が緩和されました。そのすべてはレート制御機能のみによるものです。

Akamai のプラットフォームには、DDoS 攻撃からお客様を保護するために適応型のレート制御を採用しています。この制御方法では、ふるまいに基づくルールを使用して、アプリケーションに対するリクエストのレートを監視し、制御します。

このケースでは、お客様の URL への POST リクエストを阻止することに集中してレート制御が行われました。残りの 2% のトラフィックは、レート制御のトリガーとなる新たなルールセットを作成して緩和しました。

国 IP アドレス リクエスト

米国 13,996 4,558,664,071

カナダ 659 261,733,710

英国 538 25,930,858

オーストラリア 93 11,042,026

デンマーク 49 21,818,410

アイルランド 37 3,133,283

インド 17 2,589,683

中国 12 243,448

ドイツ 12 997,701

南アフリカ 11 2,121,635

図 2：この内訳は、インシデント発生時の IP ソース数が上位の地域と、各地域で記録されたリクエスト数を表しています。

14[インターネットの現状] / セキュリティ DDoS 攻撃およびアプリケーション攻撃レポート：第 5 巻、第 1 号

ここで重要なのは、市場にある他の DDoS 対策製品と同様に、Akamai のレート制御は適切に調整と設定を行うことで大きな効果を発揮するということです。このケースでは、問題が生じる前に、お客様は Akamai と協力して独自の要件を満たすルールを作成していました。

バグのあるコードの分散によるサービス妨害攻撃：SIRT の仕事が終わり、SOCC が事態を収拾したころには、関係者全員がこのインシデントは攻撃ではないことに気づいていました。

SIRT のさらなる調査によって初期分析が裏付けられ、お客様の URL を襲った大量のトラフィックは正当なツールの不具合によって生じたものであることがわかりました。

SOCC がトラフィックをフィルタリングし始めると、正当なツールがお客様の URL にアクセスし続けました。しかし、後続のリクエストでは緩和策の回避のためのヘッダー（User-Agent フィールドなど）変更が全く行われておらず、このインシデントが悪意のある攻撃でないことを示していました。

その後、お客様と、問題のツールの責任者であるベンダーに、調査結果をご確認いただきました。影響を受けたすべてのシステムは、数時間で修正されました。

学んだ教訓：SOCC に依頼が寄せられる問題はすべて火急の案件であり、チームは 24 時間年中無休で対応します。しかし、すべてのインシデントが今回のように不可解で、対応が困難なわけではありません。

このケースでは、Akamai の他の部門からインシデント報告を受けましたが、だからといって SOCC のスタッフはこのインシデントを緊急性の低いものとは考えません。実際に、SOCC　は SIRT の調査担当者と連携し、早急に問題を緩和することができました。

このインシデントで得た教訓があるとすれば、それは強力な防御態勢を整えることが重要であるということです。実際に何かが起こる前に、これを行う必要があります。このケースでは、お客様の管理体制が組織のニーズに合うように構成され、整備されていました。

15[インターネットの現状] / セキュリティ DDoS 攻撃およびアプリケーション攻撃レポート：第 5 巻、第 1 号

ボットの増加＝問題の増加コンピューティングの分散によって、企業運営や消費者の生活が少し楽になりました。しかし同時に、この進歩によって新たな攻撃ベクトルが生まれました。ネットワークやアプリケーションに対する最も一般的な脅威の 1 つとして、ボットが挙げられます。Akamai の調査によると、悪意のあるボットが絶えず進化しているだけでなく、ボットの開発者は積極的に検知回避テクノロジーを模索し、特定のブランドやベンダーに関する独自の専門知識を備えた開発者を雇うことまでしています。

ボットの仕組みや防御方法を把握することは、セキュリティモデルにおいて不可欠な要素です。重要なポイントは、典型的なボット防御テクノロジーや回避テクノロジーがどのように機能し、それが組織独自のビジネスモデルやリスクモデルにどのように当てはまるかを理解することです。

オンライン・ビジネス・プレゼンスへの大半のトラフィックがボットになると、深刻な影響が生じます。

業種 総ボットトラフィック 総リクエスト （ボットおよび HTTP） ボットによるリクエストの割合

メディア & エンターテインメント 6,385,268,181 94,607,069,792 6.75%

教育 126,485,194 2,920,230,414 4.33%

ホテル & 旅行業 17,213,912,273 403,734,977,420 4.26%

その他 1,070,980,172 25,252,564,668 4.24%

小売 107,301,948,091 2,768,895,396,390 3.88%

製造 1,398,829,764 41,430,063,364 3.38%

不動産 130,157,772 4,006,237,916 3.25%

消費財 2,737,855,414 103,710,648,491 2.64%

公共部門 3,185,738,438 138,246,823,219 2.30%

SaaS 1,624,107,871 77,066,649,310 2.11%

製薬／医療 307,249,702 15,373,210,108 2.00%

図 3：Akamai ネットワークにおける、一般に知られている良性ボットと悪性ボットの両方を含むボットトラフィックの業界別内訳（リクエストの割合順）

16[インターネットの現状] / セキュリティ DDoS 攻撃およびアプリケーション攻撃レポート：第 5 巻、第 1 号

この影響は、パフォーマンス問題（例：Web サイトの速度が低下し、顧客の不満が高まる）などのボットトラフィックに関わるさまざまなリスクへと広がり、IT コストの増加につながります。また、Web サイトから棚卸資産、価格情報、コンテンツなどをスクレイプするボットなど、ブランドに関わるリスクも生じます。それらへの対処で不十分な場合は、DDoS 攻撃、広告詐欺、SEO スパム、Credential

Stuffing などを引き起こすボットへの対処も必要です。

一般的に知られている良性ボットは、公開されているコンテンツをスキャンするものであり、合法企業によって運営されており、通常はウェブページへの URL を含む User-Agent ヘッダーで自らの身元を証明しています。

良性ボットは、主に以下のカテゴリーに分けられます。

• 検索エンジンクローラー – ウェブ検索エンジンは、汎用的な検索エンジン（Google、Bing など）から、対象を絞ったもの、たとえば求人情報検索エンジン、メディアおよびエンターテインメント情報検索エンジン、商業用検索エンジン、学術および研究用検索エンジン（出版物、引用検索、意味分析）などまで、さまざまな目的で運営されています。

• ウェブアーカイブ – 定期的にウェブをスキャンし、検索可能なインデックス付きデータベースにコンテンツを記録します。

• 検索エンジン最適化、オーディエンス分析、マーケティングサービス – お客様が市場での立ち位置や意見などを把握するために役立つコンテンツを、Web サイトやソーシャルメディアから収集します。

• サイトのモニタリングサービス – サイトの健全性、可用性、負荷発生時のパフォーマンスをモニタリングするための自動ツールです。

• コンテンツアグリゲーター – このカテゴリーのボットは、ニュース、トレンド、製品の最新情報、価格の変更、株価情報など、ウェブ上の複数のソースをスキャンします。

多くの企業には、ボットを使用して Web サイトから製品ラインアップやダイナミック広告リストの変更情報をスクレイプするパートナーがいます。特にホスピタリティ業界や旅行業界で多く見られます。しかし、このような「良性」のボットは負荷が重く、企業の Web サイトの使用負荷の急上昇を引き起こす可能性があります。

17[インターネットの現状] / セキュリティ DDoS 攻撃およびアプリケーション攻撃レポート：第 5 巻、第 1 号

ほとんどのボット防御システムは、1 つの目標を達成するためにつくられています。それは、悪性のボットトラフィックをブロックしつつ、人間と良性ボットが Web サイトにアクセスできるようにすることです。また、ボット防御では、一般的に知られている良性ボットと悪性ボットを見分け、確立されたルールやその他の規制を良性ボットが順守していることを確認する必要があります。

ボットへの対応は簡単ではありません。可視性の問題が生じ得るだけでなく、ブラックリストなどの標準的な防御策の管理にも手間がかかります。

回避戦術：Web サイトにアクセスするボットには、検知を回避するためのさまざまなテクニックや戦術が用いられています。最も基本的な回避戦術は、User-Agent などの HTTP ヘッダーの値を変更することです。これによって、広く使用されているブラウザー、モバイルアプリケーション、一般的に知られている良性ボットになりすますことができます。

また、使用する IP アドレスを変更してオリジンを偽装したり、複数の IP アドレスを使用したりします。複数の IP アドレスから毎時少量のリクエストを送る「Low & Slow」（少しずつ時間をかけた）手法を用いたボットの場合、IP アドレスの変更はレート制限を回避するためにも行われます。

図 4：ボットの影響は組織によって大きく異なり、各組織が独自に評価する必要があります

18[インターネットの現状] / セキュリティ DDoS 攻撃およびアプリケーション攻撃レポート：第 5 巻、第 1 号

その他のレート制限回避方法としては、モバイルエンドポイントや API エンドポイントの使用のほか、プロキシ、VPN、Tor を介した IP アドレスの改変が挙げられます。

ブラウザーのプロパティを改ざんし、ホワイトリスト化されていることの多い既知のフィンガープリントの特性を偽装するボットもあります。また、検知回避のために、Cookie スタッフィングや、良性の Cookie

の収集と使用など、Cookie の改ざんを行う場合もあります。

多層攻撃：最近、Akamai のお客様数社が、複数の業界をターゲットとしたボット攻撃を受けました。攻撃者は、すべてのお客様に対して、数千の IP アドレスと複数の検知回避手法を使用していました。特筆すべ

きは、これまでにない検知回避手法が大規模に使用されていたことです。エンジニアはこれに起因する小さな課題を解決するのに手間取りました。

調査の観点では、複数業界に対するこの攻撃は興味深いものでした。なぜなら対処の際に、インターネットに対する Akamai の可視性の強みが実証されたからです。これをきっかけに、今後フィンガープリントの不一致や悪意のないものに対する誤検知による問題を引き起こすことのないソリューションが実現しました。

図 5：悪性ボットの難易度を基準とした、一般的な回避戦術と論理防御メカニズムの対照図

19[インターネットの現状] / セキュリティ DDoS 攻撃およびアプリケーション攻撃レポート：第 5 巻、第 1 号

小売業界の例：小売業界では、特にセール、限定商品の発売、販促イベントの際に、ボットを使用して商品の自動購入が行われています。多くの場合、このように購入された商品は希少性が高まるため、ボットの所有者は大きく値上げして転売します。

すでに述べたように、ボット所有者は、防御を検知した際にさまざまなテクニックを用いて回避します。しかし、常に防御側の一歩先を行くためには、リソースプールを維持しなければなりません。それでも駄目なら、大金を払って新たな回避テクニックを開発します。

Akamai は、ボット使用者が「ウェブで商品を購入するためのブルート・フォース・プログラムを作成する」ために 1 万 5,000 ドルの報酬で開発者を募集している求人情報を発見しました。このフリーランス業務の求人では、特に Akamai の防御をかいくぐった実績のある人を求めていました。

20[インターネットの現状] / セキュリティ DDoS 攻撃およびアプリケーション攻撃レポート：第 5 巻、第 1 号

さらに、一流スポーツウェアブランド用のボットを作成した経験が必須条件として挙げられていました。ボット自体には、ボット防御回避、Cookie生成、ウェブスクレイピング、API スニッフィング、reCAPTCHA 回避、reCAPTCHA Cookie インポートなど、さまざまな回避機能が必要です。

この開発業務をオファーした人物は、以下のスクリーンショットを撮った時期に 40 件近くの関連する求人を掲載しており、そのうち 28 件では 1 万ドルを超える報酬が提示されていました。その仕事の多くはコーディングを中心としたものであり、すべての求人がボット防御の回避に重点を置いていました。他の

図 6：特定の企業に関する知識を持った開発者の求人情報の例

21[インターネットの現状] / セキュリティ DDoS 攻撃およびアプリケーション攻撃レポート：第 5 巻、第 1 号

雇い主が掲載している同様の開発業務の求人では、支払われる報酬が仕事の価値に見合っておらず（500 ドルなど）、サイト上のフリーランス開発者はほとんどまたは全く興味を示していませんでした。

他にも、複数の回避テクニックを備えた小売用ボットを開発するために、2,000 ドルと月額 1,000 ドルの報酬で最大 3 名の開発者を募集している求人がありました。この求人でも、応募条件として小売

Web サイトにおいて Akamai の防御を回避した実績が求められていました。

教訓ボットが完全になくなることはありません。簡単に自動化することができるため、ボットは大きなビジネスチャンスになりますが、リスクの増大も引き起こします。実際にこのような二面性があるため、ボットは無視したり完全にブロックしたりするのではなく、管理しなければなりません。企業は、自社の Web サイトにとって有益なボット（検索エンジンクローラー、アグリゲーターなど）と、会社やお客様に悪影響を及ぼすボットを区別する必要があります。

ボット対策の主なメリットは、ボットの運用や行動に対する可視性を得られることです。一般に知られている良性のボットの観点では、これは正当なオリジンと特徴の特定、および偽装の傾向の把握に役立ちます。悪性のボットの観点では、幅広い可視性によって、実行可能な脅威インテリジェンスと、大規模なキャンペーンを実行する高度なオペレーターに対処する能力がもたらされます。

22[インターネットの現状] / セキュリティ DDoS 攻撃およびアプリケーション攻撃レポート：第 5 巻、第 1 号

今後の展望セキュリティの最も重要なルールの 1 つは、「自身の環境を知ること」です。ネットワークの正常な状態について基本的な知識がなければ、異常の発生を把握できません。しかし、新しいツールやテクノロジーが絶えず登場し、企業ニーズを満たすためにネットワークが大幅に変更されている昨今、基本的な知識を身につけるのもますます困難になっています。しかし、企業内の組織も努力を断念するわけにはいきません。

今回は、Akamai の調査事例の 1 つ目として、良いツールが悪い結果をもたらした例を紹介しました。これは、過去の「インターネットの現状／セキュリティ」レポートで見覚えのあるテーマでしょう。API に接続する新たなパートナーが適切にリクエストを調整し忘れることは、珍しいことではありません。検索エンジンにデータを供給するサイトクローラーがネットワーク停止の原因となることもあります。すべての攻撃が悪意を持って行われるわけではなく、単なる誤りの場合もあるのです。しかし、ターゲットには非常に悪い影響が生じる可能性があります。

これは、ネットワークをターゲットとするツールと正反対のものです。企業の防御を突破するために、特定のタイプの業者のネットワークではなく、企業が使用している銀行のネットワークでもなく、企業の環境やシステムをターゲットとしています。インターネットの暗部では、ツールの広告にターゲットを具体的にリストアップし、バイヤーがどの企業を標的にできるかを把握できるようにしていることがよく見られるようになってきました。

Akamai では、当社のテクノロジーをターゲットとする求人情報を掲載している攻撃者を発見し、さまざまな対応を行っています。当社自体が標的にされているのです。攻撃者は、他の開発活動よりも、Akamai のツールや防御に打ち勝つことに力を注いでいます。しかしこれはかえって、攻撃者が作成したボットを阻止するために Akamai が効果的であることを明確に示しています。攻撃者は、Akamai のテクノロジーに悩まされているからこそ、そのようなスキルを求めているのです。これは喜んでよいのかわかりませんが、すごいことです。

レポートの最初に掲載されている、メンタルヘルスに関する Amanda Berlin 氏のエッセイにまだ目を通していない方は、落ち着ける場所で今すぐお読みください。ストレスなくキャリアを築くことはできません。しかし、セキュリティ担当者としてのキャリアは、他の職種より難しいようです。一度立ち止まり、Amanda

Berlin 氏の提案があなた自身やあなたのチームに当てはまるかどうか考えてみてください。

Akamai の「インターネットの現状／セキュリティ」レポートをご拝読くださり、ありがとうございました。

23[インターネットの現状] / セキュリティ DDoS 攻撃およびアプリケーション攻撃レポート：第 5 巻、第 1 号

付録 A：手法「インターネットの現状／セキュリティ」レポートを作成するために使用したデータは、Akamai の複数のソリューションから収集されており、主に 2 つのネットワークに分類することができます。ソリューションには、Kona Web Application Firewall（WAF）、Prolexic DDoS 防御、Bot Manager Premier などが含まれます。Akamai はこれらのシステムを用いて、お客様を保護するための複合的なエコシステムを形成しています。Akamai のネットワークは広範なため、当社はすべてのインターネットトラフィックの有意な部分を見ることができます。

1 つ目のネットワークは、Akamai の「インテリジェント・エッジ・セキュリティ」基盤です。これは、世界中の数千のネットワークに配置されている 20 万台以上のサーバーで構成されているネットワークです。2018 年 11 月、このネットワークでは、1 日のピーク時の平均トラフィックが 50 テラビット／秒（Tbps）を超えました。12 月初旬、複数のパッチとゲームのリリースによって、Akamai のネットワークのトラフィックはおよそ 69 Tbps に達しました。このトラフィックを保護するために Kona WAF が使用されており、攻撃に関する情報が Cloud Security Intelligence（CSI）という内部ツールに供給されます。このデータは、ひと月ペタバイトという単位で測定され、攻撃の調査、トレンドの把握、Akamai ソリューションへのインテリジェンスの追加のために使用されます。

Akamai が提供する 2 つ目の主要ネットワークは、Prolexic プラットフォームです。分散型のインテリジェント・エッジ・セキュリティ・プラットフォームとは異なり、Prolexic ソリューションはお客様の組織のすべてのトラフィックを Akamai のデータセンターにルーティングするために構築されており、良性のトラフィックと悪性のトラフィックを区別することができます。各データセンターは、それぞれの地域でお客様に最高のサービスを提供するために、物理的な位置、高速相互接続ネットワークへの接続状況、その他の多くの要素に基づいて選択されています。

「DDoS 攻撃に見えて実は攻撃ではない事例」では、Akamai のチームが確認できるトラフィックの種類と量、複数のチームによって問題を把握し解決する仕組みを紹介しました。最初の問題は Prolexic ソリューションのトラフィックキャプチャーを使用して発見、解決されましたが、問題を完全に理解するためには複数のチームの専門知識が必要とされました。

「ボットの増加＝問題の増加」では、主に Akamai の Bot Manager Premier ソリューションから収集されたデータを使用しました。しかし、このツールは、Web Application Firewall のログや IP レピュテーションツールなど、他の複数のデータセットの合成データに依存しています。また、攻撃者が検知を回避するためにどのようにトラフィックを操作しているかを把握するためには、大規模なトラフィック分析が必要です。インターネット上での求人情報の調査結果が示しているとおり、Akamai は経験とヒューマンインテリジェンスという最も重要なツールを備えています。

「インターネットの現状／セキュリティ」レポートでは、Akamai のチームによる分析が紹介されており、すべてのコンテンツはチームの専門知識のもとに成り立っています。

24[インターネットの現状] / セキュリティ DDoS 攻撃およびアプリケーション攻撃レポート：第 5 巻、第 1 号

クレジット

インターネットの現状／セキュリティチームBen Tang（Data Scientist） Elad Shuster（Security Researcher、Senior Lead） Chad Seaman（Security Intelligence Response Team、Senior II） Larry Cashdollar（Security Intelligence Response Team、Senior II） Moshe Zioni（Threat Research、Director） Gabriel Bellas（Practice Manager、Global Services）

編集スタッフMartin McKeay（Editorial Director） Amanda Fakhreddine（Sr. Technical Writer、Managing Editor） Steve Ragan（Sr. Technical Writer、Editor）

ゲストオーサーAmanda Berlin（Mental Health Hackers*）

制作Benedikt Van Holt（アートディレクション） Brendan John O’Hara（グラフィックデザイン） Georgina Morales Hampe、Kylee McRae、Murali Venukumar（プロジェクトマネジメント）

* Amanda Berlin 氏の見解は、必ずしも Akamai Technologies の見解と一致するとは限りません。したがって、本書に

掲載されている記事は、Akamai が医学的な助言や専門的なカウンセリングを提供するものではありません。

Akamai は世界中の企業に安全で快適なデジタル体験を提供しています。Akamai のインテリジェントなエッジプラットフォームは、企業のデータセンターからクラウドプロバイダーのデータセンターまで広範に網羅し、企業とそのビジネスを高速、スマート、そしてセキュアなものにします。マルチクラウドアーキテクチャの力を拡大させる、俊敏性に優れたソリューションを活用して競争優位を確立するため、世界中のトップブランドが Akamai を利用しています。Akamai は、意思決定、アプリケーション、体験を、ユーザーの最も近くで提供すると同時に、攻撃や脅威は遠ざけます。また、エッジセキュリティ、ウェブ／モバイルパフォーマンス、エンタープライズアクセス、ビデオデリバリーによって構成される Akamai のソリューションポートフォリオは、比類のないカスタマーサービスと分析、365 日/24 時間体制のモニタリングによって支えられています。世界中のトップブランドが Akamai を信頼する理由について、www.akamai.com、blogs.akamai.com および Twitter の @Akamai でご紹介しています。全事業所の連絡先情報は、www.akamai.com/locations をご覧ください。公開日：2019 年 1 月。